Dostępność informacji w sieci jest dziś tak powszechna, że przy zaangażowaniu często niewielkich nakładów pracy, każdy z użytkowników Internetu, jest w stanie zebrać dowolną ich ilość. Osoby publiczne, menedżerowie wysokiego szczebla czy określone organizacje, nierzadko spotykają się z niechcianym zainteresowaniem, którego wolałyby uniknąć. Zapewne skuteczną metodą ochrony prywatności byłoby całkowite nieujawnianie publicznie swojego wizerunku, informacji osobistych czy danych związanych z funkcjonowaniem i bieżącą działalnością. Nie każdy jednak chce lub może pozwolić sobie na dobrowolne wykluczenie z obiegu medialnego. Żyjemy w czasach, gdy obecność w mediach często decyduje o istnieniu i sukcesie, a jej brak z góry skazuje na niepowodzenie.
Stare powiedzenie mówi, że „pieniądze lubią ciszę” — i nie tylko one. Prywatność, a nawet (choć pozornie może brzmieć to zaskakująco) popularność, również za nią przepadają. Przekazując informacje o sobie do wiadomości publicznej, warto mieć na uwadze, że inni mogą wykorzystać je do własnych, często niekorzystnych dla nas, działań. Choć więc pozornie dzielenie się znaczną ilością informacji sprzyja budowaniu wizerunku i pomnażaniu majątku (przykładem są influencerzy, celebryci, eksperci wypowiadający się online itd.), jeśli ktoś wykorzysta je przeciwko nam, efekt będzie wręcz przeciwny.
W poniższym artykule opowiem o doktrynie OPSEC, czyli bezpieczeństwie operacji — procesie ochrony informacji i świadomego „dawkowania” ich na forum publicznym tak, by maksymalizować korzyści z wyjawiania pewnych informacji a minimalizować ryzyko utraty kontroli nad innymi.
Czym jest OPSEC?
Bezpieczeństwo operacji OPSEC (ang. operations security) to proces oceny i ochrony dostępnych publicznie danych na swój temat, które można zgrupować w celu uzyskania szerszego, logicznego obrazu. OPSEC identyfikuje krytyczne informacje w celu ustalenia, czy działania podejmowane w dobrej wierze powinny być jawne lub pozostać ukryte, w celu uniknięcia ich użycia w nieprzyjaznym celu. Następnie określa, czy informacje uzyskane przez przeciwników mogą być dla nich przydatne i podejmuje działania, które eliminują lub ograniczają ich wykorzystanie.
Proces ten skutkuje opracowaniem środków zaradczych, które obejmują metody techniczne i nietechniczne, takie jak:
- korzystanie z oprogramowania szyfrującego,
- zabezpieczanie się przed podsłuchem,
- zwracanie uwagi na udostępniane zdjęcia i elementy w tle,
- brak otwartych wypowiedzi w serwisach społecznościowych o informacjach poufnych, wrażliwych dla działalności osobistej lub biznesowej.
OPSEC to dyscyplina pochodzenia wojskowego, która w erze komputerów stała się nieodłączną częścią życia instytucji rządowych, prywatnych przedsiębiorstw, jak i każdej osoby publicznej. Można wręcz posunąć się do oceny, że każda organizacja społeczna i osoba obecna w środkach masowego przekazu, powinna zastanowić się, jakie kroki może podjąć, aby poprawić swoją postawę w kwestii chronienia informacji o sobie.
Stosując pewien kolokwializm, można by rzec, że OPSEC to druga strona medalu wobec białego wywiadu, jakim jest OSINT (ang. Open Source Intelligence). Szerzej o tematyce białego wywiadu i pozyskiwania danych z publicznych źródeł przeczytasz w jednym z moich artykułów, pod tytułem „OSINT, czyli biały wywiad – metoda pozyskiwania informacji z cyberprzestrzeni w oparciu o dane jawnoźródłowe”.
OPSEC zakłada, że jeśli ktoś wyszukuje informacji na mój temat, to ja powinienem zadbać, aby je otrzymał, ale w takim zakresie, na jaki świadomie pozwolę lub nawet, jaki będę chciał drugiej stronie pokazać (w kontekście: zmanipulować, by myślała, że informacje, które otrzymuje, są tym czego poszukuje, gdy w rzeczywistości są one fałszywe lub celowo wprowadzają w błąd).
Trochę historii – skąd to się wzięło?
Termin „operations security” został po raz pierwszy użyty w armii Stanów Zjednoczonych podczas wojny w Wietnamie. W 1966 r. admirał Stanów Zjednoczonych Ulysses Sharp powołał zespół ds. bezpieczeństwa w celu zbadania niepowodzenia niektórych operacji bojowych. Operacja ta została nazwana Operacją Purpurowy Smok (ang. Operation Purple Dragon) i obejmowała personel Agencji Bezpieczeństwa Narodowego (NSA) i Departamentu Obrony.
W wyniku wysiłków prowadzonych przez zespół Purple Dragon, zwrócono uwagę, że wróg był w stanie przewidzieć strategię i taktykę działań armii USA. Wojsko było pewne, że przeciwnikowi nie udało się odszyfrować amerykańskiej komunikacji i nie dysponowano zasobami wywiadowczymi, które mogłyby gromadzić dane od wewnątrz. Wniosek był taki, że to siły USA nieumyślnie ujawniły wrogowi istotne informacje. Na tej podstawie zespół Purple Dragon opracował pierwszą definicję militarną, będącą prekursorem OPSEC: „zdolność do trzymania wiedzy o naszych mocnych i słabych stronach z dala od wrogich sił”.
Po zakończeniu operacji zespół Purple Dragon usystematyzował swoje rekomendacje oraz nadał im oficjalną nazwę OPSEC — Operations Security. Z biegiem czasu koncepcja spotkała się z szerokim zainteresowaniem i rozprzestrzeniła się z US Army na inne departamenty rządowe oraz przemysł prywatny. Przyjęła się do tego stopnia, że została rozwinięta i dopracowana bardziej szczegółowo, jako jeden z procesów zarządzania bezpieczeństwem.
Z ciekawostek warto jeszcze dodać, że Amerykański Departament Energii, który odpowiada za nadzór nad arsenałem i gospodarką nuklearną kraju, opracował własną definicję OPSEC, która brzmi następująco: „Bezpieczeństwo operacji obejmuje proces określania niesklasyfikowanych lub kontrolowanych informacji krytycznych, które mogą być wskaźnikiem lub drogą do informacji niejawnych wymagających ochrony, niezależnie od tego, czy przez czas ograniczony lub dłuższy”.
Jak przeprowadzić analizę OPSEC
Analizę OPSEC przeprowadza się w celu oceny zdolności drugiej strony (zazwyczaj o wrogich zamiarach) do uzyskania dostępu do twoich kluczowych informacji, własności intelektualnych, informacji zastrzeżonych lub danych osobowych. Takie analizy przynoszą bezpośrednie korzyści wszystkim, którzy chcą chronić informacje lub aktywa przed ujawnieniem. Oceny bezpieczeństwa operacji umożliwiają wgląd w przewidywalne wskaźniki, możliwe do wykorzystania procesy i procedury, a jednocześnie przedstawiają konkretne środki przeciwdziałania potencjalnym podatnościom. Oceny mogą być przeprowadzane przez wewnętrznych przedstawicieli z każdego działu lub przez ekspertów zewnętrznych. Zwykle trwają od 1 do 3 tygodni.
Armia Stanów Zjednoczonych ustanowiła pięciostopniowy proces, którego założeniem jest pomoc organizacji w identyfikowaniu określonych informacji wymagających ochrony i stosowaniu środków w celu ich zabezpieczenia. Dzięki niemu, w sposób ustrukturyzowany i normatywny, organizacje mogą oceniać swoje dane i infrastrukturę, by opracowywać plan ich ochrony. Przejdźmy zatem do opisu i wyjaśnienia kolejnych kroków.
1. Identyfikacja krytycznych informacji
Krytyczna informacja to informacja, którą przekazujesz w dobrej wierze, mając przyjazne zamiary, zdolności i działania (ang. Capabilities, Activities, Limitations, Intentions), jednak której znajomość pozwala przeciwnikowi zrealizować czynności destabilizujące twoje funkcjonowanie. Musisz zacząć od ustalenia, które dane, jeśli trafią w posiadanie lub zostaną udostępnione przez przeciwnika, wyrządzą szkodę Tobie lub Twojej organizacji.
Mogą one obejmować:
- informacje od klientów,
- zapisy finansowe,
- własność intelektualną,
- wewnętrzne dane organizacyjne,
- szczegóły dotyczące środków bezpieczeństwa,
- plany logistyczne,
- wyniki finansowe,
- dane osobowe
- itp.
Są to również wszelkie informacje udostępniane za pomocą mediów społecznościowych, publikowane oferty zatrudnienia czy ogłoszenia o starcie w przetargach.
Rozporządzenie US Army nr 530-1 dzieli informacje krytyczne na cztery kategorie, określane skrótem CALI (ang. Capabilities, Activities, Limitations, Intentions), co w tłumaczeniu oznacza: możliwości, działania, ograniczenia (w tym podatności na zagrożenia) i intencje.
Dzięki wykonaniu identyfikacji informacji krytycznych powstaje lista, która pozwala danej organizacji skoncentrować zasoby na istotnych elementach niejawnych, zamiast próbować chronić wszystkie informacje publicznie dostępne.
2. Analiza zagrożeń
Zagrożenie pochodzi od przeciwnika, czyli osoby lub grupy, która może próbować zakłócić albo naruszyć naszą aktywność. Im bardziej zdeterminowany jest przeciwnik i im wyższe są jego zdolności, tym stanowi większe zagrożenie.
Pytaniem, które należy sobie zadać, jest: kim są nasi przeciwnicy? Mogą to być zarówno hakerzy, stalkerzy, porywacze, jak i konkurenci biznesowi. Pamiętaj, że różni wrogowie mogą celować w różne dane! W celu zidentyfikowania prawdopodobnych przeciwników i ustalenia stopnia zagrożenia wykorzystuje się wiele źródeł zależnych od kontekstu, takich jak: działania wywiadowcze, działalność organów ścigania i agencji detektywistycznych, jak również testy penetracyjne, mające ujawnić słabe punkty i błędy bezpieczeństwa oprogramowania.
3. Analiza podatności
W ramach analizy podatności weryfikujemy informacje, jakie planujemy udostępnić publicznie, w celu zidentyfikowania wektorów zagrożenia, mogących ujawnić dane krytyczne, a następnie porównujemy wyniki z możliwościami gromadzenia danych zidentyfikowanych w punkcie drugim przez przeciwnika. Zagrożenie traktujemy jako siłę przeciwnika, natomiast podatność jako wrażliwy element publikowanych informacji.
Przeprowadzenie pełnego audytu bezpieczeństwa w celu ujawnienia słabych punktów to kluczowy krok, dla zachowania bezpieczeństwa każdej organizacji.
4. Ocena ryzyka
Na tym etapie analizowane są luki zidentyfikowane w punktach drugim i trzecim, by móc określić możliwe środki zapobiegawcze odrębnie dla każdej z nich.
Na podstawie oceny ryzyka, wykonanej w zależności od obszaru działania przez kierownictwo, przeszkolony personel lub samodzielnie, wybierane są do wprowadzenia konkretne środki bezpieczeństwa.
Ryzyko obliczane jest na podstawie prawdopodobieństwa ujawnienia krytycznych informacji i jego ewentualnych skutków. Prawdopodobieństwo, podobnie jak w punkcie trzecim, dzieli się na poziom zagrożenia i poziom podatności.
Podstawową zasadą podziału jest reguła, że prawdopodobieństwo wystąpienia zagrożenia jest najwyższe, gdy przeciwnik cechuje się silnym zamiarem i zdolnością realizacji dedykowanego ataku, przy zachowanym wysokim stopniu otwartości organizacji lub osoby narażonej wobec otoczenia.
Dochodzi tutaj do sytuacji, gdy publikując informacje w dobrej wierze, organizacja lub osoba prywatna staje się ofiarą, gdyż atakujący wykorzystuje je z wrogim zamiarem. Należy oszacować i dowiedzieć się, jakie jest prawdopodobieństwo ataku oraz ile szkód może wyrządzić ktoś wykorzystujący podatności.
5. Opracowanie planu i zastosowanie odpowiednich środków
Mając zebrane w poprzednich czterech punktach wszystkie istotne informacje, kolejnym krokiem jest stworzenie planu eliminacji luk i zapewniania bezpieczeństwa danych. Plan ten wdraża środki zaradcze wybrane do oceny działań związanych z ryzykiem lub w przypadku planowanych przyszłych operacji, obejmuje środki określone według harmonogramu. Środki zaradcze, aby zapewnić stałą ochronę bieżących informacji przed odpowiednimi zagrożeniami, muszą być regularnie monitorowane.
Ostatnim elementem opracowania planu jest formalna ocena wdrożenia procesu wobec zachodzących potrzeb. Warto zaangażować w tym celu zespół ekspertów. Oceny określają wymagania co do nakładów dodatkowych środków i wymaganych zmian w istniejących procedurach. Ponadto, osoby odpowiedzialne za wdrożenie ściśle współpracując z personelem organizacji, muszą zdefiniować i opracować elementy przyjaznych informacji, stosowane w celu zapobiegania nieumyślnemu ujawnieniu w przyszłości informacji krytycznych lub wrażliwych.
Odniesienie definiujące środki zaradcze w kategorii kontroli działań opisuje wspomniane uprzednio rozporządzenie armii Stanów Zjednoczonych nr 530-1: „Środki zaradcze oraz kontranaliza, jako narzędzia pomagające profesjonaliście bezpieczeństwa operacji w ochronie krytycznych informacji”.
Dobre praktyki i środki bezpieczeństwa według OPSEC
Mamy już za sobą techniczną część procesu OPSEC, która dla części czytelników może wydawać się mocno abstrakcyjna i trudna do przyswojenia. Przejdźmy zatem do elementów, które w największym stopniu dotyczą każdego z nas, zarówno w biznesie, jak i prywatnie. W poniższym akapicie przedstawię według mnie najciekawszy zakres operacji bezpieczeństwa, a mianowicie elementy, na które należy zwracać uwagę w planowaniu i realizacji codziennych działań w publicznej przestrzeni cyfrowej. Znajdziesz tutaj szereg dobrych praktyk i środków zapobiegawczych, jakie warto stosować dla własnego bezpieczeństwa lub umiejętnie wykorzystywać je, by odbiorca otrzymywał tylko takie informacje, na jakich nam zależy.
Poniższe rady dość szczegółowo opisują problematykę przeciwdziałania zagrożeniu. Jej zakres jest jednak tak szeroki, że trudno jest mi wyczerpać go w całości. Zalecenia odnoszą się tylko do opisywanego szczególnego rodzaju ryzyka, jakim jest obszar biznesowo-prywatny. Nie wszystkie elementy będą możliwe do wdrożenia w każdej sytuacji, jednak im więcej punktów uda Ci się zrealizować, tym wyższy będzie poziom bezpieczeństwa i kultury OPSEC w Twoim środowisku. Miej na uwadze, by nie traktować poniższych wytycznych, jako uniwersalnego rozwiązania w każdej sytuacji. Warto byś analizował swoją indywidualną sytuację i wyszukiwał nowych potencjalnych podatności, które warto eliminować.
1. Zanim udostępnisz publicznie jakieś informacje, zadaj sobie pytanie, czy powinny się one tam znaleźć. Zwracaj uwagę na treści publikowane w social media: czy Twój profil nie ukazuje informacji zbyt osobistych, czy nie przedstawia niejawnych informacji zawodowych, czy w tle zdjęć nie znajdują się nieodpowiednich treści, czy nie publikujesz danych wrażliwych lub innych informacji, które nie powinny trafić do sieci. Pamiętaj o starej zasadzie: „co pojawia się w Internecie, już tam zostaje”;
2. Jeśli to możliwe nie łącz życia prywatnego z zawodowym i nie chwal się każdemu, co robisz w pracy: z pozoru nieistotne opowieści mogą między wierszami zawierać niejawne, strategiczne lub bardzo osobiste informacje, które nie powinny być przekazywane. Trzymaj się zasady „prywatne – prywatne, służbowe – służbowe”. Nie wykorzystuj infrastruktury i urządzeń służbowych w celach prywatnych i odwrotnie, nie używaj prywatnego sprzętu w pracy. W trakcie pracy nie korzystaj z firmowej sieci w celach prywatnych: przede wszystkim nie loguj się w mediach społecznościowych, a jeśli musisz — wyloguj się wcześniej z kont służbowych;
3. Przeglądarkę internetową uruchamiaj z „czystym” profilem: używaj trybu prywatnego incognito (według zapewnień producentów nie zapisuje on historii przeglądania stron i nie gromadzi plików cookies), dla pewności po skończonej pracy wyczyść pamięć cache — to samo wykonaj przed kolejnym użyciem przeglądarki, jeśli nie masz pewności, czy nie byłeś jedynym użytkownikiem komputera;
4. Kontroluj zawartość swoich mediów społecznościowych. Najlepiej, gdyby profil nie posiadał żadnej historii, wszelka aktywność, jak zdjęcia, polubienia i komentarze były na bieżąco monitorowane, a te, które z czasem uznasz za niewarte dzielenia się z szerszą publicznością — usuwane. Unikaj oznaczania lokalizacji i powiązań rodzinnych. Usuwaj metadane z publikowanych zdjęć;
5. Zakładaj konta tylko tam, gdzie jest to konieczne. Jeśli jest taka możliwość, przy rejestracji i użytkowaniu podawaj jak najmniej prawdziwych informacji. Usuń zasoby sieciowe, które nie są Ci już potrzebne;
6. Używaj oprogramowania VPN albo TOR, by ukryć swój adres IP. Jeśli wyszukujesz lub publikujesz informacje, co do których zależy Ci na anonimowości lub by były odczytane wyłącznie przez określoną grupę odbiorców, nigdy nie podejmuj takich akcji, korzystając z adresu IP, który wskazuje Twoje miejsce pracy, pobytu czy zamieszkania;
7. Bezwzględnie stosuj się do polityki bezpieczeństwa obowiązującej w Twojej firmie: jeśli jednoznacznie zabrania ona korzystania z urządzeń prywatnych, to ich nie używaj; jeśli firma funkcjonuje na zasadach BYOD (ang. bring your own device), to przestrzegaj zasad bezpieczeństwa, jakich wymaga od Ciebie organizacja;
8. Jeśli przebywasz na terenie infrastruktury, której obszar nie jest powszechnie jawny, nie używaj urządzeń stosujących funkcję geolokalizacji np. telefonu komórkowego z włączoną lokalizacją, smartwatchy, smartbandów, urządzeń GPS. Zwróć uwagę, jakie dane lokalizacyjne przekazuje pojazd, którym się poruszasz;
9. Jeśli używałeś substancji zmieniających postrzeganie rzeczywistości, jak alkohol czy narkotyki, to najlepiej powstrzymaj się od aktywności w mediach publicznych, nic nie komentuj i nie publikuj;
10. Jeśli odpowiadasz za zarządzanie infrastrukturą firmowej sieci, to stosuj metodę ograniczania dostępu do urządzeń sieciowych na zasadzie „najpierw się zapoznaj – potem korzystaj”. W praktyce oznacza to, że zanim użytkownik otrzyma dostęp do pewnych zasobów, powinien zapoznać się z procedurą lub instrukcją bezpiecznego ich wykorzystania. Stosuj metodę zapewnienia pracownikom minimalnego niezbędnego dostępu do zasobów i przestrzegaj zasady utrzymywania jak najmniejszych uprawnień;
11. Przeszkol swoich pracowników w zakresie dobrych praktyk oraz obsługi urządzeń szyfrujących i monitorujących transfer danych;
12. Zadbaj, by sposób myślenia Twój i ludzi, z którymi współpracujesz, był zgodny z regułami OPSEC. Postaraj się, aby w Twojej organizacji OPSEC nie funkcjonował jako abstrakcyjny, niewygodny twór, tylko był czymś naturalnym i zrozumiałym. Uświadom swoich ludzi, gdzie znajduje się granica pomiędzy tematami, o których można się swobodnie wypowiadać na zewnątrz firmy, a co jest kategorycznie zabronione – świadomość personelu, w jakim zakresie obiegu informacji mogą się poruszać, jest niezwykle istotna;
13. Jeśli pewne procesy da się zautomatyzować, to warto wdrożyć takie rozwiązanie: pozwoli ono uniknąć ingerencji słabego ogniwa, jakim jest człowiek.
Więcej na temat zasad użytkowania firmowych zasobów i kultury organizacyjnej w kontekście bezpieczeństwa przetwarzania danych, znajdziesz w jednym z moich artykułów dostępnych na blogu pt. „Zjawisko Shadow IT i związane z nim ryzyko dla cyberbezpieczeństwa firmy”
Jako rozwinięcie kwestii zapewnienia prywatności, zachęcam do zapoznania się z artykułem mówiącym o metodach anonimizacji pt. „Anonimizacja jako sposób na bezpieczeństwo w sieci – najpopularniejsze rozwiązania i dobre praktyki”.
Cenne wskazówki
1. Pamiętaj, jeśli tworzysz regulacje OPSEC w swojej organizacji, procedura ta powinna być jawna wobec wszystkich zainteresowanych. Ci, którzy wiedzą, czego strzec, mają większą szansę na ochronę poufnych informacji w przeciwieństwie do osób nieświadomych ich wartości.
2. W pierwszej kolejności skup się na ochronie zasobów, które nie zostały jeszcze ujawnione.
3. Staraj się bazować na wiedzy eksperckiej. Z pewnością część zagrożeń już analizowano i nie ma potrzeby tworzyć całej procedury od podstaw. Zamiast tracić czas i zasoby na samodzielnie przeprowadzane analizy, postaraj się uzyskać dane o zagrożeniach od ekspertów.
4. Proces bezpieczeństwa informacji włącz do procesów planowania i podejmowania decyzji. Jeśli opracowujesz strategię nowego projektu i dysponujesz czasem, nie czekaj na ostatnią chwilę – planuj OPSEC od początku, równolegle z pozostałymi stadiami rozwoju.
5. OPSEC, to nieprzerwany proces, którego przebieg i skala efektywności powinny być mierzalne.
Chcąc osiągnąć wyższy poziom kontroli i dopasowywać proces do zmiennych warunków, przeprowadzaj regularne oceny efektywności programu i pozwalaj mu na ewolucję.
6. OPSEC, jest często najtańszym rozwiązaniem w porównaniu z drogimi technologiami, które należałoby wdrożyć, chcąc osiągnąć podobny poziom bezpieczeństwa.
7. Procedurę bezpieczeństwa operacji należy zawsze stosować w zgodzie z porządkiem prawnym i standardami etycznymi.
OPSEC Alarm! Przypadki błędów, gdy procedura zawiodła
Życie często pokazuje, że nic nie uczy tak dobrze, jak cudze lub własne błędy. Niestety wielu ludzi, dopóki nie uświadomi sobie zagrożenia na przykładzie rzeczywistych przypadków, nie jest w stanie racjonalnie zrozumieć, a tym bardziej zastosować pewnych rozwiązań — zwłaszcza takich, które ograniczają swobodę działań, np. z entuzjazmem zarejestrujemy się w nowym portalu społecznościowym, niestety z mniejszym entuzjazmem zastosujemy się do wymagań posiadania skomplikowanego hasła i jego regularnej zmiany, weryfikacji dwuetapowej z podaniem numeru telefonu czy kolejnego potwierdzenia captcha, że nie jesteśmy robotem.
Chcąc ułatwić zrozumienie, jak ważne jest wdrożenie i stosowanie procedury OPSEC, przedstawię poniżej kilka przykładów z życia, ukazujących konsekwencje braku przestrzegania podstawowej higieny bezpieczeństwa informacji.
Ujawnienie konta szefa FBI
Podczas wywiadu w telewizji, brak czujności ze strony szefa FBI — Jamesa Comeya, przyczyniła się do namierzenia jego tajnego konta w social media. Podczas wystąpienia telewizyjnego, Comey przyznał się, że korzysta z anonimowego konta na Twitterze i Instagramie, które ma 9 osób obserwujących. Już te szczątkowe informacje wystarczyły oglądającej program dziennikarce, Ashley Feinberg, do namierzenia członków rodziny Comeya. Następnie poprzez analizę wzajemnych relacji pomiędzy kontami użytkowników, odnalazła właściwe konto szefa FBI, które faktycznie posiadało 9 obserwujących. Jako uzasadnienie swojej tezy dziennikarka uznała, że nazwa profilu 'reinholdniebuhr’ jest taka sama, jak postać teologa Reinholda Niebuhra, o którym James Comey pisał pracę w trakcie studiów. Jako kolejny krok, pozostało już tylko przeszukać Twitter pod kątem występowania fraz z nazwiskiem teologa, by w wynikach odnaleźć konto @projectexile7, będące własnością Comeya.
Zielone ludziki
Według oficjalnego przekazu medialnego, rząd w Moskwie zaprzecza, aby na terenie wschodniej Ukrainy, stacjonowały rosyjskie wojska. Wielokrotnie jednak udowodniono, iż nie jest to prawda. Świadczy o tym m.in. szereg incydentów nieuważnego ujawnienia przez rosyjskich żołnierzy własnych danych geolokalizacyjnych podczas oznaczania lokalizacji w mediach społecznościowych. Publikowane w taki sposób zdjęcia ukazywały dokładną lokalizację żołnierza – w tym stronę granicy, po której się znajduje.
Aplikacje treningowe dla biegaczy
Kilka lat temu głośno było o aplikacjach monitorujących aktywność fizyczną: Strava i Endomondo. W oparciu o rejestr lokalizacji urządzeń posiadających zainstalowaną jedną z tych aplikacji można było wyśledzić wizualizacje tras, którymi biegają ich użytkownicy. Okazało się, że obie aplikacje cieszą się sporą popularnością wśród żołnierzy. Ci biegając na terenie swoich baz, nieświadomie publikowali za pośrednictwem aplikacji wyniki przebiegu trasy i dokładną lokalizację. W efekcie, niepozorne i odludne punkty na mapach, w tym obszary pustynne czy gęsto zalesione, okazywały się popularnymi miejscami aktywności sportowych. Dla osób, zorientowanych w celu poszukiwań, był to jasny znak, że w danym miejscu może znajdować się tajny obiekt militarny.
Kilka słów na zakończenie
Wysoki poziom determinacji, posiadanie pewnej wiedzy i umiejętność konsolidowania jej źródeł (tutaj: dane lokalizacyjne, mapa satelitarna, wiedza, że osoba wykonuje określoną funkcję zawodową) ukazują, jak agregacja pozornie nieistotnych szczątków informacji, może pozwolić zbudować klarowny obraz celu. Co istotne, nawet osoby zawodowo związane z bezpieczeństwem mogą nie być świadome pozostawianych śladów. Wobec powyższych przykładów warto również zwrócić uwagę na niski koszt zaangażowanych nakładów – większość informacji cel dostarczył samodzielnie, a rola atakującego wymagała jedynie sprytu i poświęcenia kilku minut, by połączyć elementy układanki.
Pamiętajmy zatem o słynnym powiedzeniu z czasów II Wojny Światowej: „Luźne usta mogą zatopić statki” (ang. „Loose lips might sink ships”). Pojawiało się ono na plakatach propagandowych i ostrzegać miało obywateli, by nie otwierali się nadmiernie podczas rozmów z innymi ludźmi. W ten sposób starano się zapobiegać szerzeniu plotek i informacji, które mogły przedostać się na stronę przeciwnika, by zostać wrogo użyte. Podobnie, jak w opisanej historii zbyt rozmowne usta rozpowszechniały plotki, tak dziś rolę ust w cyfrowym świecie pełnią media społecznościowe. Pamiętaj: zanim zamieścisz coś w internecie, zadaj sobie to kluczowe pytanie: czy na pewno powinno się to tam znaleźć?